Cos'è DNSSEC?
DNSSEC (Domain Name System Security Extensions) è una suite di estensioni crittografiche a DNS che autentica le risposte DNS aggiungendo firme digitali ai record, impedendo agli aggressori di falsificare o manipolare i dati DNS.Come funziona DNSSEC
Chain of Trust:
Root Zone (.)
├── Signs: .com zone key
│ └── KSK (Key Signing Key)
│ └── ZSK (Zone Signing Key)
│
TLD Zone (.com)
├── Signs: example.com zone key
│ └── DS Record points to child KSK
│
Domain Zone (example.com)
├── Signs: All DNS records
│ └── RRSIG (Record Signature)
│ └── DNSKEY (Public keys)
│
Resolver validates entire chain from root
Tipi di record DNSSEC
| Registrazione | Oggetto | Descrizione |
|---|---|---|
| RRSIG | Firma | Firma crittografica per ogni set di record |
| DNSKEY | Chiave pubblica | Le chiavi pubbliche della zona (KSK e ZSK) |
| Servizi | Segnale della delegazione | KSK nella zona madre |
| NSEC/NSEC3 | Deniego autentico | Prova un record non esiste |
Tipi chiave
| Chiave | Oggetto | Frequenza di rotazione |
|---|---|---|
| KSK (Key Signing Key) | Registrazioni record DNSKEY | Annualmente o meno |
| ZSK (Zone Signing Key) | Segna tutti gli altri record | Mensile a trimestrale |
Processo di convalida DNSSEC
1. Detergente DNS per example.com A record
2. Resolver recupera un record + firma RRSIG
3. Risolvere le fetches DNSKEY per verificare RRSIG
4. Resolver convalida il record DS contro DNSKEY
5. La catena continua a radicarsi, verificando ogni livello
6. Se tutte le firme valide, la risposta è autenticata
Minacce DNSSEC Previene
| Attacco | Descrizione | Protezione DNSSEC |
|---|---|---|
| Cache avvelenamento | Iniezione di falsi record nella cache | Le firme rilevano la manomissione |
| Man-in-the-Middle | Intercettazione e alterazione delle risposte | La validazione criptografica fallisce |
| DNS Spoofing | Restituzione di indirizzi IP falsi | I record forgiati non hanno firma valida |
Considerazioni di attuazione
- Performance: risposte più grandi a causa delle firme (~1000-4000 byte vs ~100 byte)
- Key management Richiede una generazione sicura di chiavi, archiviazione e rotazione
- - Si'. Deve dimettersi zona quando i record cambiano
- Risolvere il supporto I client hanno bisogno di risolutori DNSSEC-validating
Migliori Pratiche
1. Utilizzo algoritmo 13 o 14: ECDSA fornisce firme più piccole di RSA
2. rotazione automatica delle chiavi Utilizzare strumenti come OpenDNSSEC per il ciclo di vita chiave
3. Monitor expiration: le firme RRSIG hanno periodi di validità
4. Test prima della distribuzione Zona valida con strumenti come dnsviz.net
5. *Plan per le emergenze * Documentare le procedure chiave di rollover
DNSSEC fornisce una protezione essenziale per l'integrità DNS, assicurando agli utenti di raggiungere destinazioni legittime piuttosto che server controllati dagli aggressori.